Antwort und Beispiele: Ja, aber nur in bestimmten Fällen. Wenn ein Unternehmen/eine Organisation Daten auf der Grundlage eines berechtigten Interesses, eines Vertrags oder lebenswichtiger Interessen erhoben hat, dürfen diese für einen anderen Zweck verwendet werden, aber erst, nachdem überprüft wurde, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.
Folgendes sollte berücksichtigt werden:
- die Verbindung zwischen dem ursprünglichen und neuen/zukünftigen Zweck;
- der Zusammenhang, in dem die Daten erhoben wurden (Welche Beziehung besteht zwischen Ihrem Unternehmen/Ihrer Organisation und der betroffenen Person?);
- die Art der Daten (Sind es sensible Daten?);
- die möglichen Folgen der beabsichtigten Weiterverarbeitung (Welche Auswirkungen hat sie für die betroffene Person?);
- das Vorhandensein geeigneter Garantien (wie Verschlüsselung oder Pseudonymisierung).
Wenn Ihr Unternehmen/Ihre Organisation die Daten für Statistiken oder wissenschaftliche Forschung nutzen möchte, ist es nicht erforderlich, die Vereinbarkeitsprüfung durchzuführen.
Wenn Ihr Unternehmen/Ihre Organisation die Daten auf der Grundlage einer Einwilligung oder einer rechtlichen Bestimmung erhoben hat, ist eine Weiterverarbeitung über die durch die ursprüngliche Einwilligung oder rechtliche Bestimmung abgedeckten Bereiche hinaus nicht möglich. Für die weitere Verarbeitung wäre die Einholung einer neuen Einwilligung oder eine neue Rechtsgrundlage erforderlich.
Beispiele:
Weiterverarbeitung möglich
Eine Bank verfügt über einen Vertrag mit einem Kunden, der dem Kunden ein Bankkonto und ein Privatdarlehen gewährt. Am Ende des ersten Vertragsjahrs verwendet die Bank die personenbezogenen Daten des Kunden, um zu überprüfen, ob er für eine bessere Darlehensvariante und einen Sparplan infrage kommt. Sie unterrichtet den Kunden. Die Bank darf die Kundendaten erneut verarbeiten, da der neue Zweck mit den ursprünglichen Zwecken vereinbar ist.
Weiterverarbeitung nicht möglich
Dieselbe Bank möchte die Kundendaten auf der Grundlage des genannten Vertrags für ein Bankkonto und ein Privatdarlehen an ein Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwilligung des Kunden unzulässig, da der Zweck nicht mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar ist.
Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de